Để biết thông tin cơ bản: (Câu hỏi ở dưới)Có thể bỏ qua chứng chỉ proxy ủy quyền Apache
Tôi đang cố gắng kết nối với một khách hàng, có 8 máy chủ, tất cả đều có địa chỉ IP duy nhất. Máy khách sử dụng cùng một chứng chỉ SSL trên tất cả các máy chủ (ví dụ này, cert name == www.all_servers.com). Khách hàng chỉ cho phép các yêu cầu gửi đến qua https.
Tôi đang cố gắng tạo proxy apache bằng cách sử dụng mod_proxy ánh xạ ánh xạ URI khác nhau cho các máy chủ khác nhau. Ví dụ:
https://PROXY_SERVER/SERVER1/{REQUEST}
này sẽ gửi {YÊU CẦU} để server1
https://PROXY_SERVER/SERVER2/{REQUEST}
sẽ gửi {} YÊU CẦU tới server2. Cho đến nay, khá đơn giản.
Trong Apache 2.2, điều này có thể đạt được bằng cách sử dụng các địa chỉ IP như vậy:!
SSLProxyEngine On
ProxyPass /server1 https://1.1.1.1/
ProxyPassReverse /server1 https://1.1.1.1/
ProxyPass /server2 https://1.1.1.2/
ProxyPassReverse /server2 https://1.1.1.2/
này là do Apache 2.2 không kiểm tra nếu giấy chứng nhận phù hợp (1.1.1.1 = www.all_servers.com)
Tuy nhiên, trong Apache 2.4, hiện tôi đang gặp sự cố chứng chỉ (đúng như vậy). (Mã chính xác này hoạt động trên một apache 2.2 hộp)
[Thu Oct 10 12:01:48.571246 2013] [proxy:error] [pid 13282:tid 140475667224320] (502)Unknown error 502: [client 192.168.1.1:48967] AH01084: pass request body failed to 1.1.1.1:443 (1.1.1.1)
[Thu Oct 10 12:01:48.571341 2013] [proxy:error] [pid 13282:tid 140475667224320] [client 192.168.1.1:48967] AH00898: Error during SSL Handshake with remote server returned by /server1/asd
[Thu Oct 10 12:01:48.571354 2013] [proxy_http:error] [pid 13282:tid 140475667224320] [client 192.168.1.1:48967] AH01097: pass request body failed to 1.1.1.1:443 (1.1.1.1) from 192.168.1.1()
tôi không thể sử dụng/etc/hosts, như một máy chủ sẽ làm việc, sử dụng:
1.1.1.1 www.all_servers.com
SSLProxyEngine On
ProxyPass /server1 https://www.all_servers.com/
ProxyPassReverse /server1 https://www.all_servers.com/
Tuy nhiên, nhiều máy chủ sẽ không
vì vậy, câu hỏi thực tế:
có cách nào để cho ce mod_proxy để bỏ qua các chứng chỉ phù hợp với lỗi. Hoặc là có một cách tốt hơn để làm điều này.
Cảm ơn bạn đã trợ giúp về điều này!
Chỉ để tránh nhầm lẫn, bạn có thể gọi cho khách hàng/khách hàng của bạn một cái gì đó khác hơn là "khách hàng", khi bạn nói về máy chủ. – Bruno
Bỏ phiếu để chuyển sang ServerFault. – Bruno